27 de abril de 2008

Otra vez el eMule

Procedimiento sancionador PS/00059/2008, instruido por la Agencia Española de Protección de Datos a DÑA. X.X.X., vista la denuncia presentada por la POLICÍA LOCAL DE OURENSE que encontró en una red de intercambio de ficheros accesible desde Internet (entorno compartido “eMule”), un fichero con datos de carácter personal correspondiente a una entidad denominada Centro Médico Lasaitasuna, cuya titularidad corresponde a Dña. X.X.X.
Este fichero había sido inscrito en el Registro General, y en la versión encontrado en Internet aparecen once mil trescientos registros asociados a pacientes y su historia clínica. De ellos, más de cuatro mil se refieren a consultas de interrupción voluntaria del embarazo (IVE Aspiración e IVE Píldora).
En fecha 11 de enero de 2008, en uno de los ordenadores del sistema de información del Centro Médico se encontraban directorios y ficheros auxiliares correspondientes a una instalación del programa de gestión de intercambio de ficheros “eMule” de fecha 26 de abril de 2006. No obstante, se verificó que el mismo no estaba instalado en el momento de realizar la comprobación.
A fecha 11 de enero de 2008, el Centro Médico no disponía de documento de seguridad. En fecha 25 de marzo de 2008, han aportado documento de seguridad estableciéndose medidas de seguridad de nivel alto.
La Agencia inicia el procedimiento sancionador por infracción de los artículos de la LOPD 9.1 (Seguridad de los datos) y 10 (Deber de secreto). Ya que la imputada reconoció su responsabilidad de inmediato, se resuelve el procedimiento imponiendo la sanción correspondiente.
Puesto que se da la circunstancia que la comisión de infracción una implica necesariamente la comisión de la otra, se establece un concurso medial procediendo subsumir ambas infracciones en una. Dado que, en este caso, una está tipificada como infracción grave y otra como muy grave, se considera que procede imputar únicamente la infracción muy grave del artículo 10 de la LOPD como infracción originaria que ha implicado la comisión de la otra, y así se resuelve el procedimiento imponiendo a DÑA. X.X.X., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 150.000 € (ciento cincuenta mil euros) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

Hay algunos detalles importantes a tomar en consideración:
  1. Este es un buen ejemplo de repercusión LOPD en la pequeña empresa. Estamos ante un empresario individual (Dña. X.X.X.) que disponía de sólo tres ordenadores.
  2. El daño causado a nivel empresarial no es sólo económico (150.000 €), sino también de repercusión, ya que el asunto se ha reflejado en la portada de El País, incluyendo la dirección del centro y una foto de la entrada. Y quizás tu y yo no sepamos quién es Dña. X.X.X., pero hay 11.000 pacientes que probablemente sí. Toda la repercusión mediática en el blog de Marketing Positivo.
  3. La clínica había sido avisada por los servicios de salud del Gobierno Vasco en el sentido de que debía mejorar la seguridad de sus sistemas informáticos, y además, puesto que había dado de alta el fichero, había recibido la carta de la AEPD en la que ya se le avisa de que de ese mero acto administrativo no se desprende el cumplimiento del resto de obligaciones en protección de datos.

21 de abril de 2008

Una nueva consideración de "spam": los sistemas de recomendación

En el procedimiento sancionador PS/00323/2007, instruido por la Agencia Española de Protección de Datos a la entidad INICIATIVAS VIRTUALES, S.A., vista la denuncia presentada por DON P.P.P., se trata el caso de uno de los muchos sistemas de recomendación a un amigo de los servicios de una web.
El envío publicitario recibido por el denunciante, corresponde a una campaña continua de captación de clientes que promueve Iniciativas Virtuales. Dicha campaña consiste en ofrecer a los clientes registrados la posibilidad de recomendar a sus familiares y amigos los servicios de Iniciativas Virtuales a través de la página web www....Y......, para lo cual existe en dicha página web una facilidad que permite remitir a una dirección de correo electrónico un mensaje informativo invitando al destinatario a registrarse en ....Y....... El mensaje que recibe el destinatario incluye un botón que enlaza directamente con la página de inscripción de clientes.
Este sistema mediante el cuál una persona introduce el correo electrónico de otra para que reciba información de la web es utilizada como forma de atraer de una forma fácil y sencilla usuarios a las webs. No es otra cosa que la traslación al mundo virtual de la tradicional técnica de marketing "member get member"
En el caso que se juzga alega la denunciada que ella no ha enviado el correo electrónico sino que lo han enviado desde la dirección ...X..@...., pero la AEPD afirma:
En el presente supuesto desde la IP de Iniciativas Virtuales se ha enviado un correo comercial a Don P.P.P. sin poder acreditar el consentimiento previo ni la existencia de una relación contractual anterior. Nunca pueden enviarse correos promocionales sin contar con estos requisitos. Iniciativas Virtuales ha ideado un sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (consentimiento previo e informado o que, previamente, haya habido una relación contractual entre el remitente del correo y el destinatario) al hacerse a través de personas que si mantienen una relación con dicha entidad, pero que lo único que han de hacer es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad.

Y finalmente impone por una infracción del artículo 21 de la LSSI, tipificada como como leve en el artículo 38.4.d) de la citada Ley, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada LSSI.

Debido a la gran cantidad de páginas web, que al igual que en el caso anterior, usan sistemas similares, el asunto ha dado bastante que hablar. El análisis más o menos jurídico y/o técnico (y en general muy crítico) se ha tratado de momento en:
  • Error 500: La Agencia de protección de datos contra el "enviar a un amigo"
  • Iurismática: ¡Cuidado con «enviar a un amigo»! Multa de 600 Euros de la AGPD
  • Ayuda WordPress: El famoso “Enviar a…” es ilegal

Además ha surgido otra de esas cíclicas polémicas que desde el ámbito profesional del comercio electrónico y el marketing directo sitúan a la LOPD como el apocalipsis del sector.

Pero como esto es entrar en el terreno del marketing y para eso tengo otro blog... continuará allí.

20 de abril de 2008

¿Y tú quién eres?

El concepto del consentimiento previo al uso de cualquier dato de tipo personal (artículo 5 de la LOPD) no supone ningún problema cuando hablamos de una actividad comercial de tipo "presencial", como muy bien sabemos en Fersoft, puesto que nuestros consultores obtienen este consentimiento (firmado) del cliente o candidato en el 99,99% de los casos a partir de una sencilla explicación sobre las garantías que esa firma supone para la intimidad de la persona física que tiene delante, y de esta forma pueden tratar con sus datos con garantías legales para ambas partes.
Sin embargo el asunto se complica cuando la captación de datos se realiza por internet. La "ausencia" física del sujeto de los derechos hace que se tengan que recurrir a medios tecnológicos para comprobar por ejemplo que no se trata de un sistema automatizado que intenta hacer "spam" o un menor tratando de acceder a un contenido no adecuado. Pero estos no siempre funcionan correctamente.
De eso trata el procedimiento sancionador PS/00281/2007, instruido por la Agencia Española de Protección de Datos a las entidades ANTEVENIO, S.A. y BANKINTER, S.A., vista la denuncia presentada por DÑA. B.B.B. por el envío a su domicilio, a nombre de su hijo D. D.D.D. (en lo sucesivo el afectado), menor de edad, de una promoción comercial por parte de Bankinter, S.A. , habiendo utilizado para ello datos de carácter personal facilitados por la empresa Antevenio, S.A.
Resulta que el chaval accedió a una web de promociones comerciales que ya avisaba que era un servicio prohibido a menores, pero al rellenar el apartado correspondiente al año de nacimiento introdujo la cifra "95" (por 1995) y el sistema se lo admitió adjudicándole la bonita edad de ¡1.911 años! A partir de ahí se generó el tratamiento ilegal de los datos y el envío publicitario que dio lugar a la denuncia.
La sanción es de las de tipo ejemplar: El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad ANTEVENIO, S.A., por una infracción de los artículos 6.1 y 11.1 de la LOPD, tipificadas como grave y muy grave en los artículos 44.3.d) y 44.4.b) de dicha norma, respectivamente, una multa de 60.000 € (sesenta mil euros) y una multa de 150.000 € (ciento cincuenta mil), de conformidad con lo establecido en el artículo 45.2, 3, 4 y 5 de la citada Ley Orgánica; y SEGUNDO: IMPONER a la entidad BANKINTER, S.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.000 € (sesenta mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
En total 270.000 €.

Podría parecer este un asunto alejado de la temática habitual de este blog, por tratarse de un caso de gran empresa, pero he querido comentarlo por ser un tema de captación de datos por internet.
Si en el mundo físico se da la circunstancia que tantas veces hemos comentado de que alrededor del 95% de los obligados al cumplimiento de la LOPD en el ámbito privado son micro-empresas (autónomos o menos de 9 empleados), lo más probable (aunque no tenga datos reales) es que este efecto de "atomización" se multiplique en internet debido a la cada vez mayor fácilidad para iniciar proyectos "virtuales".
Si un sistema de verificación que tiene detrás a una de las mayores empresas de marketing de este país con el apoyo de un gran banco, es susceptible de fallos como éste, ¿qué le puede pasar a la infinidad de webs y blogs comerciales que pueblan el hiperespacio internáutico con todo tipo de ofertas comerciales y una seguridad bajo mínimos?

El asuntó se comentó en Legal Protect y en Finanzas.com, y Miguel Angel Mata critica la resolución.

19 de abril de 2008

¿Temporada de rebajas?

Un comentario en la nota anterior (gracias Roberto G.) nos recuerda uno de los casos que demuestran la tendencia en la AEPD a rebajar el importe de las sanciones.
Por un lado está el significativo descenso de 2005 a 2006 del importe total de las sanciones, a pesar de ser más en número; por otro la continua apelación en las resoluciones (incluso sin que el demandado así lo solicite por desconocimiento) a los artículos 45.4 y 45.5 de la LOPD que permiten atenuar la carga económica, y finalmente, como en el caso que señalaba el lector, la rebaja en las sanciones por spam:
  • Versión José Luis Piñar Mañas: en el Procedimiento Nº PS/00370/2005 "El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad ET SYSTEMS, por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4 d) de dicha, una multa de 1.000 € (mil euros), de conformidad con lo establecido en el artículo 39.1.c) y 40 de la citada Ley."
  • Versión Artemi Rallo Lombarte: en el Procedimiento Nº PS/00342/2007 "El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a CONVIERTA COMERCIALIZACIÓN, S.L., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4. d) de dicha norma, una multa de 600 € (seiscientos euros) de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley."
Misma infracción del mismo artículo... ¿distinta sanción?

15 de abril de 2008

Spam desde cuentas corporativas (2)

Si la resolución comentada en la nota anterior dejaba claro que un profesional independiente es un encargado del tratamiento que puede ser sancionado aunque la vulneración de la ley se produzca mediante herramientas cedidas por la propia entidad responsable del fichero (cuentas de correo corporativo), por el contrario las dos que se citan a continuación demuestran que las entidades no pueden nunca escudarse en la mala praxis de su empleados:

  • En el procedimiento sancionador PS/00344/2007, instruido por la Agencia Española de Protección de Datos a la entidad EUROASIA DIGITAL, S.A., por haber enviado un correo electrónico no solicitado, la empresa alegó que "un trabajador, que formó parte de la empresa durante el tiempo que esta tuvo actividad en (.......), y que actualmente no pertenece a la misma, pudo haber remitido dicho correo".
  • En el procedimiento sancionador PS/00342/2007, instruido por la Agencia Española de Protección de Datos a la entidad CONVIERTA COMERCIALIZACIÓN, S.L., por el mismo motivo, la empresa alegó que "los empleados del departamento comercial de Convierta realizan de forma asidua labores de prospección comercial, para lo cual recaban, mediante contacto personal – ferias o actividades comerciales -, telefónico o búsqueda de información en Internet, direcciones de correo electrónico a las que se remiten correos electrónico de contacto. Los correos son remitidos de forma directa por cada uno de los comerciales. De acuerdo al resultado de los contactos, los datos de los potenciales clientes o clientes serán o no incorporados al fichero mencionado en el punto anterior. (...) Mostrado por los inspectores al representante de la entidad copia del correo electrónico objeto de denuncia, manifestó al respecto lo siguiente: a). Que la dirección de correo corresponde a un empleado de la entidad – “Cargo 1” - que en el momento de realizar la inspección no se encontraba en la sede de la entidad. b). Que el correo puede corresponder a un envío promocional remitido en el marco de las labores de prospección comercial que habitualmente realizan los empleados del departamento comercial. c). Que la dirección de correo destinataria del mensaje puede haber sido obtenida por el empleado en el desarrollo de labores de contacto con potenciales clientes."

En ambos casos la AEPD ni siquiera comenta el intento de desviar la atención hacia la posible responsabilidad de los empleados, y sanciona a las dos empresas con 600€.